Obsah zabezpečenia v systéme tvOS 10.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 10.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

tvOS 10.2

Vydané 27. marca 2017

Zvuk

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2430: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-2462: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Carbon

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie súboru .dfont so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) z oddelenia Tencent Security Platform Department

CoreGraphics

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s nekonečnou rekurziou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-2417: riusksk (泉哥) z oddelenia Tencent Security Platform Department

CoreGraphics

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2444: Mei Wang z tímu 360 GearTeam

CoreText

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2435: John Villamil, Doyensec

CoreText

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2450: John Villamil, Doyensec

CoreText

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby apky

Popis: Dochádzalo k problému s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2461: Anonymný výskumník, Isaac Archambault z tímu IDAoADI

FontParser

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2487: riusksk (泉哥) z oddelenia Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) z oddelenia Tencent Security Platform Department

FontParser

K dispozícii pre: Apple TV (4. generácie)

Dopad: Analýza súboru písma so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2407: riusksk (泉哥) z oddelenia Tencent Security Platform Department

FontParser

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

K dispozícii pre: Apple TV (4. generácie)

Dopad: Škodlivý server HTTP/2 môže byť schopný spôsobiť nedefinované správanie

Popis: Vo verziách knižnice nghttp2 starších ako 1.17.0 dochádzalo k viacerým problémom. Tieto problémy boli vyriešené aktualizovaním knižnice nghttp2 na verziu 1.17.0.

CVE-2017-2428

Dátum aktualizovania záznamu: 28. marca 2017

ImageIO

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent

ImageIO

K dispozícii pre: Apple TV (4. generácie)

Dopad: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2432: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2467

ImageIO

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Vo verziách knižnice LibTIFF starších ako 4.0.7 dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený aktualizovaním knižnice LibTIFF v triede ImageIO na verziu 4.0.7.

CVE-2016-3619

JavaScriptCore

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2491: Apple

Dátum pridania záznamu: 2. mája 2017

JavaScriptCore

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webovej stránky so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s prototypom, ktorý bol vyriešený vylepšením logiky.

CVE-2017-2492: lokihardt z tímu Google Project Zero

Dátum aktualizovania záznamu: 24. apríla 2017

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2401: Lufeng Li z tímu Qihoo 360 Vulcan Team

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2440: Anonymný výskumník

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami používateľa root

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2456: lokihardt z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2472: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2473: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím hodnoty o jednotku menšej alebo väčšej, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-2474: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2017-2478: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2482: Ian Beer z tímu Google Project Zero

CVE-2017-2483: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2490: Ian Beer z tímu Google Project Zero, Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

Dátum pridania záznamu: 31. marca 2017

Klávesnice

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-2458: Shashank (@cyberboyIndia)

Kľúčenka

K dispozícii pre: Apple TV (4. generácie)

Dopad: Útočník, ktorý dokáže zaznamenávať pripojenia TLS, môže byť schopný čítať tajné informácie chránené iCloud Kľúčenkou.

Popis: iCloud Kľúčenka v niektorých prípadoch neoverovala pravosť paketov OTR. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2448: Alex Radocea zo spoločnosti Longterm Security, Inc.

Dátum aktualizovania záznamu: 30. marca 2017

libarchive

K dispozícii pre: Apple TV (4. generácie)

Dopad: Lokálny útočník môže byť schopný meniť povolenia súborového systému ľubovoľných adresárov

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2017-2390: Omer Medan zo spoločnosti enSilo Ltd

libc++abi

K dispozícii pre: Apple TV (4. generácie)

Dopad: Dekódovanie názvov funkcií apky v jazyku C++ so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2441

libxslt

K dispozícii pre: Apple TV (4. generácie)

Dopad: Viacero zraniteľností v knižnici libxslt

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-5029: Holger Fuhrmannek

Dátum pridania záznamu: 28. marca 2017

Zabezpečenie

K dispozícii pre: Apple TV (4. generácie)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami používateľa root

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-2451: Alex Radocea zo spoločnosti Longterm Security, Inc.

Zabezpečenie

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie certifikátu x509 so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri analýze certifikátov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2485: Aleksandar Nikolic zo spoločnosti Cisco Talos

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.

CVE-2017-2386: André Bargull

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z tímu Google Project Zero, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-2455: Ivan Fratric z tímu Google Project Zero

CVE-2017-2459: Ivan Fratric z tímu Google Project Zero

CVE-2017-2460: Ivan Fratric z tímu Google Project Zero

CVE-2017-2464: natashenka z tímu Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang a Wei Yuan z tímu Security Lab spoločnosti Baidu

CVE-2017-2466: Ivan Fratric z tímu Google Project Zero

CVE-2017-2468: lokihardt z tímu Google Project Zero

CVE-2017-2469: lokihardt z tímu Google Project Zero

CVE-2017-2470: lokihardt z tímu Google Project Zero

CVE-2017-2476: Ivan Fratric z tímu Google Project Zero

CVE-2017-2481: 0011 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 20. júna 2017

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2415: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k vysokej spotrebe pamäte

Popis: Dochádzalo k problému s nekontrolovanou spotrebou zdrojov, ktorý bol vyriešený vylepšením spracovania regulárnych výrazov.

CVE-2016-9643: Gustavo Grieco

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2367: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní objektov rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2445: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní funkcií striktného režimu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2446: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií používateľa

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2447: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2463: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 28. marca 2017

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2475: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2479: lokihardt z tímu Google Project Zero

Dátum pridania záznamu: 28. marca 2017

WebKit

K dispozícii pre: Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2480: lokihardt z tímu Google Project Zero

CVE-2017-2493: lokihardt z tímu Google Project Zero

Dátum aktualizovania záznamu: 24. apríla 2017

Ďalšie poďakovanie

XNU

Poďakovanie za pomoc si zaslúži Lufeng Li z tímu Qihoo 360 Vulcan.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: